OpenClaw—AI研究OpenClaw生态本周曝出一起典型供应链攻击事件:流行组件codexui-android的npm包发布账号被入侵,攻击者利用窃取的开发者Token发布了植入后门的”正常版本”——版本号、功能、文档都没变,源码里多了3行恶意代码。这种攻击的隐蔽性极强,直到部分用户反馈”OpenClaw执行任务时偶尔会主动连接陌生服务器”才被察觉。
事件时间线:攻击者5月28日凌晨拿到Token,5月28日当晚发布v2.1.7版本,5月30日社区发现异常上报,5月31日官方确认并紧急撤销。短短3天,全球下载量约12000次,其中开发者本地开发环境估计有3000+被植入后门。OpenClaw紧急发布v2.1.8清理版本,并要求所有用户强制升级。
技术细节:恶意代码藏在”配置同步”模块里,伪装成”心跳包”向攻击者控制的C2服务器上报用户OpenClaw实例的元数据——版本、安装路径、最近执行的命令摘要。不直接偷数据,但给了攻击者”侦察地图”——知道哪些OpenClaw实例装了codexui-android、活跃度多高、用户大概在做什么任务。攻击者可以据此发动”二阶段定向攻击”。
这起事件给所有依赖OpenClaw Skill生态的开发者提了三个醒。第一,npm Token必须开启2FA+IP白名单,发布时强制要求”二次确认”——这次攻击如果开了2FA几乎不可能成功。第二,Skill安装时不要无脑`npm install -g`,应该用`npm ci –ignore-scripts`阻断可能存在的postinstall钩子。第三,定期审计已安装Skill的”网络活动”,发现陌生连接立即排查。
OpenClaw官方已宣布将推出”Skill签名验证”机制——所有官方Skill发布时附开发者签名,OpenClaw客户端在加载时验证签名,不匹配的拒绝执行。这个机制如果早3个月上线,这次攻击根本不可能发生。安全永远是被攻击后才完善的,这是AI Agent生态的成人礼。